+7 (3452) 595-805 (многоканальный)
+7 (499) 215-29-99

Защита персональных данных

ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ

Закон «О персональных данных» от 27.07.2006 г. № 152-ФЗ обязывает оператора принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

К персональным данным относится: фамилия, имя и отчество физического лица; год, месяц, дата и место рождения; адрес; семейное, социальное, имущественное положение; образование, профессия, доходы и т. п.

Правоотношения в сфере персональных данных регулируются федеральным законодательством РФ (Федеральный Закон «О персональных данных»), Трудовым (глава 14) и Гражданским кодексами РФ.

ПРАВОВОЕ ОСНОВАНИЕ

В соответствии с ФЗ РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (и иными требованиями законодательства), оператору персональных данных необходимо предпринять ряд организационных и технических мер защиты информации, включающих в себя:

  • уведомление уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзор);
  • проведение обследования информационных ресурсов предприятия в части обработки персональных данных;
  • разработку документов, регламентирующих обработку персональных данных в организации;
  • создание системы защиты персональных данных;
  • аттестацию или декларирование соответствия ИСПДн требованиям безопасности информации;
  • повышение квалификации сотрудников в области защиты персональных данных.

Нарушение требований законодательства в области обеспечения безопасности ПДн влечет гражданскую, уголовную, административную или дисциплинарную ответственности физических и должностных лиц.

ОПЕРАТОР ПЕРСОНАЛЬНЫХ ДАННЫХ

Оператором персональных данных является государственный или муниципальный орган, юридическое или физическое лицо, организующее и/или осуществляющее обработку персональных данных, а также определяющее цели и содержание обработки персональных данных.

Простыми словами, оператором персональных данных является каждый работодатель. Если потребителями услуг организации являются физические лица, то такая организация имеет как минимум две подсистемы ИСПДн – «кадры» и «клиенты».

ПРЕИМУЩЕСТВА ВНЕДРЕНИЯ СИСТЕМЫ ЗАЩИТЫ ПДн

Внедрения системы обеспечения безопасности персональных данных позволит:

  • продолжать свою деятельность, не опасаясь претензий со стороны клиентов и собственных сотрудников;
  • обрабатывать персональные данные не только внутри компании, но и передавать их сторонним организациям;
  • защититься от претензий со стороны регулирующих органов;
  • защититься от непредвиденной и принудительной остановки бизнеса;
  • защититься от недобросовестных конкурентов;
  • привести информационную систему персональных данных в соответствие всем стандартам и требованиям законодательства.

СТОИМОСТЬ

Стоимость работ по защите персональных данных зависит от архитектуры и распределенности ИТ-инфраструктры Заказчика, перечня и сложности выполняемых работ и может варьироваться в пределах от 50 тысяч до нескольких миллионов рублей.

СРОКИ ВЫПОЛНЕНИЯ РАБОТ

Срок выполнения полного комплекса работ по приведению информационной системы персональных данных в соответствие законодательным требованиям (обследование, разработка организационно-распорядительной документации, закупка средств защиты информации, их внедрение, аттестационные испытания) – от 2-4 недель.

КОМПЛЕКС МЕРОПРИЯТИЙ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ:

  • предпроектное обследование;
  • модернизация технологического процесса обработки персональных данных;
  • определение уровня защищенности информационных систем персональных данных;
  • разработка полного комплекса организационно-распорядительной и эксплуатационной документации (в т. ч. при использовании криптосредств);
  • проектирование системы защиты персональных данных;
  • сертификация существующих у Заказчика средств защиты;
  • поставка, установка и настройка средств защиты, ввод в эксплуатацию системы защиты;
  • обучение специалистов;
  • аттестация (подтверждение соответствия);
  • сопровождение и обслуживание системы защиты персональных данных;
  • аудит актуальности принятых организационных и технических мер обеспечения безопасности персональных данных.

В ходе предпроектного обследования информационных ресурсов Заказчика осуществляется получение исходной информации об особенностях обработки персональных данных путем анализа представленных документов и результатов интервьюирования сотрудников Заказчика, а именно:

  • разрабатывается перечень информационных систем обработки персональных данных;
  • определяется состав и местонахождение персональных данных, обрабатываемых в каждой информационной системе;
  • описывается состав и структура информационных систем (состав программного и аппаратного обеспечения, топология, применяемые средства защиты информации);
  • на основе предоставленных Заказчиком исходных данных относительно архитектуры сети (схемы сети физической и логической) разрабатывается схема корпоративной информационной системы, соответствующая требованиям Регуляторов;
  • обосновывается необходимость использования средств криптографической защиты информации в целях обеспечения безопасности персональных данных;
  • проводится категорирование систем обработки персональных данных;
  • составляется полный перечень организационно-технических мероприятий по защите персональных данных для каждой информационной системы;
  • осуществляется сбор и анализ документов по обеспечению безопасности информации (положения, руководства, инструкции, парольные политики, правила разграничения доступа, приказы о назначении ответственных по защите персональных данных и т. д.).

Результаты работ предпроектного этапа оформляются в виде:

  • отчета об обследовании информационных систем персональных данных;
  • модели угроз персональных данных и модель нарушителя их безопасности (для «специальных» систем);
  • проекты актов по определению уровней защищенности информационных систем персональных данных.

Проектирование системы защиты персональных данных предусматривает выбор программных и/или аппаратных средств защиты информации и разработку технического задания, основываясь выработанными на предыдущем этапе требованими к информационной системе персональных данных заказчика.

После согласования и утверждения технического задания Заказчиком разрабатываются варианты проектных решений по системе защиты информации и ее подсистемам.

Этап разработки организационно-распорядительных документов подразумевает разработку комплекта внутренних распорядительных документов Заказчика. Этот комплект устанавливает принципы, правила и условия обработки персональных данных; основные режимы, внедряемые на предприятии; методы и способы защиты обрабатываемых персональных данных; лица, ответственные за отдельные виды работ в сфере обработки персональных данных и т. д. На выходе Заказчик получает полный комплект организационно-распорядительных документов по обеспечению безопасности персональных данных, включающий в себя соответствующие инструкции, порядки, положения, концепции.

На основании технического задания осуществляется внедрение системы защиты персональных данных. Этап внедрения предполагает встраивание компонентов системы защиты информации в существующую инфраструктуру предприятия и осуществляется совместно с сотрудниками ИТ-подразделений Заказчика.

Работы по внедрению системы защиты персональных данных проводятся в следующей последовательности:

  • подготовительные работы (разработка спецификации на требуемое оборудование и программное обеспечение, закупка и поставка технических средств защиты информации);
  • внедрение компонентов системы защиты ПДн, т. е. установка и настройка программно-аппаратных средств, а также их запуск в опытную эксплуатацию;
  • доработка системы защиты персональных данных по результатам опытной эксплуатации (выявление недостатков, их устранение);
  • запуск системы защиты персональных данных в промышленную эксплуатацию.

При необходимости проводятся работы по оценке соответствия информационной системы персональных данных требованиям по безопасности информации, а именно:

  • разработка программы и методики аттестационных испытаний (формирование перечня работ и их продолжительности, определение порядка, содержания, условий и методик испытаний для оценки характеристик и показателей соответствия их установленным требованиям, согласование программы аттестационных испытаний с Заказчиком);
  • проведение специальных исследований, направленных на выявление каналов утечки защищаемой информации;
  • оформление «Аттестата соответствия».

После запуска в действие системы защиты персональных данных по окончании гарантийного периода наши специалисты готовы и в дальнейшем оказывать сопровождение системы защиты персональных данных.

В рамках договора по аутсорсингу информационной системы персональных данных компания «КБ-Информ» берет на себя следующие функции:

  • поддержание в актуальном состоянии организационно-распорядительной документации по вопросам обеспечения безопасности персональных данных;
  • контроль изменений в функционировании информационных систем персональных данных (смена ответственных лиц, аппаратных или программных компонентов информационной системы и т. п.);
  • совместное участие в проверках Роскомнадзора по вопросам соответствия законодательным требованиям;
  • устранение замечаний регулятора.

Сопровождение системы защиты персональных данных специалистами «КБ-информ» позволит избежать необходимости:

  • содержания в штате высокопрофессиональных специалистов;
  • получения лицензий ФСТЭК на ТЗКИ и лицензий ФСБ на обслуживание криптографических средств защиты информации при эксплуатации таких средств.

При необходимости компания «КБ-Информ» может подключиться к проекту по обеспечению безопасности персональных данных на любом из его этапов и выполнить отдельные виды работ (например, аудит нормативной базы Заказчика, обследование инфраструктуры и разработка рекомендаций, аттестация информационной системы персональных данных и других объектов информатизации и т.д.).

НАШИ ПРЕИМУЩЕСТВА

Во-первых, ООО «КБ-Информ» - лицензиат ФСБ и ФСТЭК, имеет штат высококвалифицированных специалистов, наработанный опыт в сфере обеспечения безопасности ПДн, находится в постоянном контакте с Роскомнадзором по вопросам обеспечения безопасности персональных данных на предприятии.

Во-вторых, наша цель — оптимизация затрат. Наш подход к задаче обеспечения безопасности персональных данных — предварительное проведение аудита информационной безопасности и анализ бизнес-процессов Заказчика.

Оптимизация затрат достигается за счет:

  • модернизации информационной системы персональных данных (изучение и оптимизация технологических процессов обработки персональных данных, уменьшение числа пользователей и т. п.);
  • сертификация средств защиты информации на соответствие требованиям информационной безопасности. Проведение данного мероприятия позволяет отказаться от необходимости внедрения новых средств и систем, что позволяет экономить на обучении сотрудников и сократить время простоя систем.
Вопросы? Пожалуйста, обращайтесь к нашим специалистам:
Тел: +7 (3452) 595-805; электронная почта: info@kbinform.ru.
Обратная связь